Moien alleguer! Jiddereen säi Liiblingsportal hat vill verschidden Artikelen iwwer Zertifizéierung am Beräich vun der Informatiounssécherheet, also wäert ech net d'Originalitéit an d'Eenzegaartegkeet vum Inhalt ufroen, awer ech wéilt nach ëmmer wierklech meng Erfahrung deelen fir GIAC (Global Information Assurance Company) ze kréien. Zertifizéierung am Beräich vun der industrieller Cybersécherheet. Zënter dem Optrëtt vun esou schreckleche Wierder wéi , , Shamoon, Triton, e Maart fir d'Bereetstellung vu Servicer vu Spezialisten, déi IT schéngen, awer och PLCs iwwerlaascht kënne mat der Konfiguratioun op Leederen ëmschreiwen, a gläichzäiteg d'Planz net gestoppt ginn, ugefaang ze bilden.
Esou koum d'Konzept vun IT&OT (Information Technology & Operation Technology) op d'Welt.
Direkt duerno (et ass kloer datt onqualifizéiert Personal net erlaabt ze schaffen) koum d'Notzung fir Spezialisten am Beräich ze zertifiéieren am Zesummenhang mat der Sécherheet vu Prozesskontrollsystemer an industrielle Systemer - vun deenen, et stellt sech eraus, et vill hinnen an eisem Liewen, vun engem automatesche Waasserversuergung Krunn an engem Appartement zu engem Kontroll System Fligeren (erënneren der excellent Artikel iwwer Problemer Ermëttlungen ). An och, wéi et op eemol erausgestallt gouf, komplex medizinescht Ausrüstung.
E kuerzen Text iwwer wéi ech un d'Noutwennegkeet komm sinn, d'Zertifizéierung ze kréien (Dir kënnt et iwwersprangen): Nodeem ech um Enn vun den XNUMXer Joren meng Studien op der Fakultéit fir Informatiounssécherheet erfollegräich ofgeschloss hunn, sinn ech mam Kapp an d'Räng vun den Instrumentatiounsschof geklommen héichgehalen, schaffen als Mecanicien fir niddereg-aktuell Sécherheet Alarm Systemer. Et schéngt wéi wann d'Informatiounssécherheet mir deemools bei der Entreprise gesot ginn ass :) Sou huet meng Carrière als Spezialist am automatiséierte Kontrollsystem mat engem Bachelor an der Informatiounssécherheet ugefaang. Sechs Joer méi spéit, nodeems ech de Rang vum Chef vum SCADA Systemdepartement geklommen ass, hunn ech verlooss fir als Sécherheetsberoder fir industriell Kontrollsystemer an enger auslännescher Firma ze schaffen, déi Software an Ausrüstung verkeeft. Dëst ass wou de Besoin en zertifizéierten Informatiounssécherheetsspezialist entstanen ass.
ass eng Entwécklung eng Organisatioun déi Training an Zertifizéierung vun Informatiounssécherheetsspezialisten mécht. De Ruff vum GIAC Zertifika ass ganz héich bei Spezialisten a Clienten an den EMEA, US an Asien Pazifik Mäert. Hei, am postsowjetesche Raum an an de CIS Länner, kann esou e Certificat nëmme vun auslännesche Firmen mat Geschäfter an eise Länner, international a Berodungsagenturen ugefrot ginn. Perséinlech hunn ech nach ni eng Demande fir esou Zertifizéierung vun Hausfirmen begéint. Jidderee freet am Fong no CISSP. Dëst ass meng subjektiv Meenung a wann iergendeen hir Erfahrung an de Kommentaren deelt, wäert et interessant sinn ze wëssen.
Et ginn zimmlech verschidde Beräicher am SANS (menger Meenung no hunn d'Jongen hir Zuel zevill ausgebaut), awer et ginn och ganz interessant praktesch Coursen. Mir gefall et besonnesch . Awer d'Geschicht wäert iwwer de Cours sinn an e Certificat genannt: .
Vun allen Typen vun Industrie Cyber Security Zertifizéierungen ugebuede vu SANS, ass dëst déi universellst. Zënter der zweeter bezitt sech méi op Power Grid Systemer, déi am Westen besonnesch Opmierksamkeet kréien a gehéieren zu enger separater Klass vu Systemer. An déi drëtt (zu der Zäit vu mengem Zertifizéierungswee) am Zesummenhang mat Incident Response.
De Cours ass net bëlleg, awer et bitt zimmlech extensiv Wëssen iwwer IT&OT. Et wäert besonnesch nëtzlech sinn fir déi Komeroden déi decidéiert hunn hiert Feld z'änneren, zum Beispill vun IT Sécherheet an der Bankeindustrie op Industrial Cyber Security. Well ech schonn en Hannergrond am Beräich vun Prozess Kontroll Systemer, Instrumenter an Operatioun Technik haten, war et näischt fundamental Neies oder vital wichteg fir mech an dësem Cours.
De Cours besteet aus 50% Theorie an 50% Praxis. Vun der Praxis war den interessantsten Concours NetWars. Fir zwee Deeg, nom Haaptcours vun de Klassen, goufen all Schüler vun alle Klassen an Teams opgedeelt an Aufgaben gemaach fir Zougangsrechter ze kréien, déi néideg Informatioun extrahéieren, Zougang zum Netz kréien, eng Rëtsch Aufgaben fir Hashes ze promoten, mat Wireshark ze schaffen an all Zorte vu verschiddene Goodies.
D'Coursematerial gëtt a Form vu Bicher zesummegefaasst, déi Dir dann fir Ären éiwege Gebrauch kritt. Iwwregens, Dir kënnt se fir den Examen huelen, well d'Format Open Book ass, awer si hëllefen Iech net vill, well d'Examen 3 Stonnen huet, 115 Froen, an d'Sprooch vun der Liwwerung ass Englesch. Während de ganzen 3 Stonnen kënnt Dir eng Paus vu 15 Minutten huelen. Denkt awer drun datt wann Dir eng Paus fir 15 Minutten hëlt an no 5 zréck an d'Tester kënnt, Dir einfach déi reschtlech zéng Minutten opginn, well Dir d'Zäit am Testprogramm net méi ophale kënnt. Dir kënnt bis zu 15 Froen iwwersprangen, déi dann um Enn erschéngen.
Ech perséinlech recommandéieren net vill Froen fir spéider ze loossen, well 3 Stonnen ass wierklech net genuch Zäit, a wann Dir um Enn Froen hutt déi nach net geléist sinn, ass et eng grouss Wahrscheinlechkeet net ze maachen et an der Zäit. Ech hannerlooss fir spéider nëmmen dräi Froen déi wierklech schwéier fir mech waren, well se mat Wëssen iwwer den NIST 800.82 an den NERC Standard bezéien. Psychologesch sinn esou Froen "fir spéider" Är Nerven um Enn - wann Äert Gehir midd ass, wëllt Dir op d'Toilette goen, den Timer um Bildschierm schéngt exponentiell ze beschleunegen.
Am Allgemengen, fir den Test ze passéieren, musst Dir 71% korrekt Äntwerten scoren. Ier Dir den Examen maacht, hutt Dir d'Méiglechkeet op realen Tester ze üben - well de Präis enthält 2 Praxis Tester vun 115 Froen a mat Bedéngungen ähnlech wéi déi richteg Examen.
Ech recommandéieren d'Examen e Mount nom Ofschloss vun der Ausbildung ze maachen, dëse Mount fir systematesch Selbststudie iwwer déi Themen an deenen Dir Iech onsécher fillt. Et wier flott wann Dir déi gedréckte Materialien, déi während dem Cours komm sinn, huelen, déi no kuerzen Abstrakten zu all Thema ausgesinn - a gezielt no Informatiounen iwwer d'Themen an dëse Bicher sichen. Break de Mount an zwee Deeler, maacht Praxis Tester a kritt e graff Bild vu wéi enge Beräicher Dir staark sidd a wou Dir musst verbesseren.
Ech wëll déi folgend Haaptberäicher ervirhiewen, déi den Examen selwer ausmaachen (net den Training, well et vill méi extensiv Themen deckt):
- Physikalesch Sécherheet: Wéi aner Zertifizéierungsexamen gëtt dëst Thema vill Opmierksamkeet am GICSP kritt. Et gi Froen iwwer d'Zorte vu kierperleche Schleisen op Dieren, Situatioune mat Fälschung vun elektronesche Passë ginn beschriwwen, wou Dir musst eng Äntwert ginn fir de Problem eendeiteg z'identifizéieren. Et gi Froen déi direkt op d'Sécherheet vun der Technologie (Prozess) verbonne sinn, ofhängeg vum Thema Beräich - Ueleg- a Gasprozesser, Atomkraaftwierker oder Stroumnetz. Zum Beispill kann et eng Fro sinn wéi: Bestëmmt wéi eng Zort vu kierperlecher Sécherheetskontroll d'Situatioun ass wann en Alarm vum Damptemperatursensor um HMI kënnt? Oder eng Fro wéi: Wéi eng Situatioun (Evenement) wäert als Grond déngen fir Videoopzeechnunge vun Iwwerwaachungskameraen vum Perimeter Sécherheetssystem vun der Ariichtung ze analyséieren?
Am Prozentsaz géif ech feststellen datt d'Zuel vun de Froen op dëser Rubrik a mengem Examen an an der Praxis Tester net méi wéi 5% hunn.
- Eng aner an eng vun de verbreetste Kategorien vu Froen si Froen iwwer Prozesskontrollsystemer, PLC, SCADA: hei wäert et noutwendeg sinn systematesch d'Studie vu Materialien unzegoen wéi d'Prozesskontrollsystemer strukturéiert sinn, vu Sensoren op Serveren wou d'Applikatiounssoftware selwer leeft. Eng genuch Zuel vu Froen gëtt iwwer d'Zorte vun industriellen Datentransferprotokoller (ModBus, RTU, Profibus, HART, etc.) fonnt. Et gi Froen iwwer wéi RTU sech vun der PLC ënnerscheet, wéi d'Donnéeën an der PLC géint Ännerunge vun engem Ugräifer ze schützen, a wéi enge Gedächtnisberäicher d'PLC Daten späichert, a wou d'Logik selwer gespäichert ass (e Programm geschriwwen vun engem Prozesskontrollsystem Programméierer ). Zum Beispill kann et eng Fro vun dësem Typ ginn: Gitt eng Äntwert op wéi Dir en Attack tëscht enger PLC an engem HMI detektéiere kënnt, deen mam ModBus Protokoll funktionnéiert?
Et gi Froen iwwer d'Ënnerscheeder tëscht SCADA an DCS Systemer. Eng grouss Zuel vu Froen iwwert d'Regele fir d'Trennung vun automatiséierte Prozesskontrollnetzwierker am L1, L2 Niveau vum L3 Niveau (Ech wäert méi am Detail an der Rubrik mat Froen iwwer de Reseau beschreiwen). Situational Froen zu dësem Thema wäerten och ganz divers sinn - si beschreiwen d'Situatioun am Kontrollraum an Dir musst Aktiounen auswielen, déi vum Prozessoperateur oder Dispatcher gemaach ginn.
Am Allgemengen, ass dës Sektioun déi spezifesch a schmuel Profil. Verlaangt Dir gutt Wëssen ze hunn:
- automatiséiert Kontroll System, Feld Deel (Sensoren, Zorte vun Apparat Verbindungen, kierperlech Fonctiounen vun Sensor, PLC, RTU);
— Emergency Shutdown Systems (ESD – Emergency Shutdown System) vu Prozesser an Objeten (et gëtt iwwregens eng exzellent Serie vun Artikelen zu dësem Thema op Habré vun )
- e Basisverständnis vun de physikalesche Prozesser, déi optrieden, zum Beispill an der Uelegraffinéierung, Elektrizitéitsproduktioun, Pipelines, asw.
- Verständnis vun der Architektur vun DCS an SCADA Systemer;
Ech géif feststellen datt Froen vun dësem Typ bis zu 25% duerch all 115 Froen vum Examen optriede kënnen. - Netzwierktechnologien an Netzwierksécherheet: Ech mengen datt d'Zuel vun de Froen an dësem Thema als éischt am Examen kënnt. Et wäert wahrscheinlech absolut alles sinn - den OSI Modell, op wéi engem Niveau dësen oder dee Protokoll funktionnéiert, vill Froen iwwer Netzwierksegmentatioun, Situatiounsfroen iwwer Netzwierkattacken, Beispiller vu Verbindungsprotokoller mat enger Propositioun fir d'Aart vun Attack ze bestëmmen, Beispiller vu Schaltkonfiguratiounen mat enger Propositioun fir eng vulnérabel Konfiguratioun ze bestëmmen, Froen iwwer Schwachstelle Netzwierkprotokoller, Froen iwwer d'Spezifizitéiten vun Netzwierkverbindunge vun industrielle Kommunikatiounsprotokoller. D'Leit froe besonnesch vill iwwer ModBus. D'Struktur vun Netzpakete vum selwechte ModBus, jee no senger Aart a Versiounen déi vum Apparat ënnerstëtzt ginn. Vill Opmierksamkeet gëtt op Attacken op drahtlose Netzwierker bezuelt - ZigBee, Wireless HART, an einfach Froen iwwer Netzwierksécherheet vun der ganzer 802.1x Famill. Et gi Froen iwwer d'Regele fir verschidde Serveren am Prozesskontrollsystemnetz ze placéieren (hei musst Dir den IEC-62443 Standard liesen an d'Prinzipien vun Referenzmodeller vu Prozesskontrollsystemer Netzwierker verstoen). Et gi Froen iwwer de Purdue Modell.
- Eng Kategorie vun Themen déi exklusiv op d'funktionell Fonctiounen vun der Operatioun vun Elektrizitéit Transmissioun Systemer an Informatiounen Sécherheet Systemer fir si bezitt. An den USA gëtt dës Kategorie vun automatiséierte Prozesskontrollsystemer Power Grid genannt a gëtt eng separat Roll zougewisen. Fir dësen Zweck gi separat Standards souguer erausginn (NIST 800.82) déi d'Approche regelen fir Informatiounssécherheetssystemer fir dëse Secteur ze kreéieren. An eise Länner ass dëse Secteur gréisstendeels op ASKUE Systemer limitéiert (korrigéiert mech wann iergendeen eng méi sérieux Approche fir d'Iwwerwaachung vu Stroumverdeelungs- a Liwwersystemer gesinn huet). Also, am Examen fannt Dir ganz spezifesch Froen am Zesummenhang mat Power Grid. Fir de gréissten Deel waren dës Benotzungsfäll fir eng spezifesch Situatioun, déi am Power Plant entwéckelt goufen, awer et kënnen och Ëmfroen iwwer Apparater sinn, déi speziell am Power Grid benotzt ginn. Et gi Froen iwwer d'Wëssen vun NIST Sektiounen fir dës Kategorie vu Systemer.
- Froen am Zesummenhang mat Wëssen vun Normen: NIST 800-82, NERC, IEC62443. Ech mengen hei ouni speziell Kommentaren - Dir musst d'Sektiounen vun de Standarden navigéieren, wat verantwortlech ass fir wat a wéi eng Empfehlungen et enthält. Et gi spezifesch Froen, zum Beispill, d'Frequenz ze froen fir d'Funktionalitéit vum System ze kontrolléieren, d'Frequenz vun der Aktualiséierung vun der Prozedur, etc. Als Prozentsaz vun esou Froen kënne bis zu 15% vun der Gesamtzuel vun de Froen begéint ginn. Mee et hänkt dovun of. Zum Beispill, op zwee Praxis Tester hunn ech nëmmen e puer ähnlech Froen begéint. Mee et waren wierklech vill vun hinnen während der Examen.
- Gutt, déi lescht Kategorie vu Froen ass all Zorte vu Benotzungsfäll a Situatiounsfroen.
Am Allgemengen war d'Formatioun selwer, mat der méiglecher Ausnam vu CTF NetWars, fir mech net ganz informativ a punkto potenziell neit Wëssen. Éischter, méi déif Detailer vun e puer Themen krut, virun allem am Beräich vun Organisatioun a Schutz vun Radio Netzwierker benotzt technologesch Informatiounen iwwerdroen, wéi och méi organiséiert Material iwwert d'Struktur vun auslännesch Standarden zu dësem Thema gewidmet. Dofir, fir Ingenieuren a Spezialisten, déi genuch Wëssen an Erfarung hunn mat Prozesskontrollsystemer / Instrumentatiounssystemer oder Industrienetzwierker ze schaffen, kënnt Dir iwwer d'Ausbildung spueren (a spueren mécht Sënn), Iech virbereeden a gitt direkt fir den Zertifizéierungsexamen ze maachen, wat , iwwregens, ass 700USD wäert. Am Fall vun Echec, Dir musst erëm bezuelen. Et gi vill Zertifizéierungszentren déi Iech fir den Examen akzeptéieren; d'Haaptsach ass am Viraus ze gëllen. Am Allgemengen empfeelen ech den Examendatum direkt ze setzen, well soss wäert Dir et dauernd verzögeren, de Virbereedungsprozess duerch aner vital an net ganz wichteg Saache ersetzen. A mat engem spezifeschen Termin Datum wäert Iech selwer motivéiert maachen.
Source: will.com